Ga direct naar de inhoud

Failliet na hack: ‘Mijn bedrijf is in één klap weggevaagd’

bedrijf gehackt.jpg

Xander Koppelmans runde een goedlopende foto-, film- en ontwerpstudio en dacht dat hij zijn zaakjes goed geregeld had. Hij was in ieder geval absoluut niet bang om gehackt te worden. Zelfs toen toch zijn bedrijf werd gehackt, dacht hij genoeg reserves te hebben om dat te kunnen overleven. De indirecte gevolgschade heeft hem uiteindelijk alsnog de das om gedaan. Hij deelt zijn verhaal om andere ondernemers te waarschuwen: ‘Dit gun ik niemand.’

Geen staatsgeheimen

Xander begon in 1991 een grafisch ontwerpstudio. Daar kwam een fotostudio en daarna een filmstudio bij. Na de gebruikelijke groeipijnen, floreerde het bedrijf begin 2015 als nooit tevoren. Xander had 8 mensen fulltime in dienst en werkte met 30 freelancers. ‘Ik weet nog dat ik tegen mijn secretaresse zei: “Wat kan ons gebeuren?”.’

Ook de automatisering had Xander voor zijn gevoel goed geregeld. ‘We werkten met onze eigen servers en back-upservers, die vanuit Amsterdam werden beheerd door een IT-partner. We hadden goede firewalls, een wachtwoordprotocol, de nieuwste software… the works. Bovendien, wie wil ons nou hacken? Onze grootste klanten waren Rijkswaterstaat en Nutricia. Wat moet iemand met beeldmateriaal van potjes babyvoeding of een snelweg in aanbouw? Dat is wel vertrouwelijke en goed beschermde data, maar het zijn nu ook weer geen staatsgeheimen die gevoelig zijn voor diefstal.’

 

Gehackt: bedrijf in één klap weg

Op een donderdagmorgen in april 2015 zag Xander vanuit de vergaderkamer zijn medewerkers zenuwachtig heen en weer lopen. “We worden gehackt!” kreeg hij al gauw te horen. ‘Ik hoopte nog dat de systeembeheerder bezig was met onderhoud, maar die wist van niets. De servers bleken al bijna helemaal leeg. We hebben toen besloten de stekker uit de servers te trekken. Toen de systeembeheerder de schade kwam opnemen, bleek bijna alles weg. Mijn bedrijf was gehackt. Niet alleen ons werk, maar ook alle back-ups, de administratie, e-mail, contactgegevens, alles was weg. Zelfs de harddisks van de medewerkers waren leeg. We waren in één klap van de aardbodem verdwenen.’

 

Geen slechter moment

De bestanden bleken niet gestolen; het zou immers dagen duren om alles te kopiëren. Xander: ‘De hacker had een script losgelaten, dat alle data heeft geëncrypt. Een data-recoverybedrijf beloofde 80 procent van de bestanden te kunnen terughalen. Dat lukte ze ook inderdaad, alleen bleek van elk foto-, video- en opmaakbestand 20 procent te ontbreken, waardoor we er niets meer mee konden. We hadden toen nog geen cyberverzekering en via je bedrijfsverzekering ben je niet voor dit soort schade verzekerd.’

 

Mijn bedrijf gehackt: ‘ik keerde naar binnen’

De hack had op geen slechter moment kunnen gebeuren, want Xanders bedrijf stond net op het punt om meerdere grote klussen op te leveren. Xander: ‘Wat volgde, was een heel stressvolle periode van herstellen van wat er te herstellen valt. We zijn als een dolle alles opnieuw gaan maken, op eigen kosten. Van een naar buiten gekeerd bedrijf dat positieve berichten deelde via de sociale media, werden we een tandenknarsend, naar binnen gekeerd bedrijf.’

 

Doorstart

Na drie maanden was Xander nog niet hersteld, maar is hij toch weer aan het werk gegaan. ‘Begin 2017 zei mijn accountant dat we er niet goed voor stonden en adviseerde zo snel mogelijk een faillissement aan te vragen. In de goede jaren had ik mijn bedrijf (een eenmanszaak) omgezet naar een bv met een holding daarboven en dat was een geluk bij een ongeluk. Hierdoor kon ik relatief goed een doorstart maken.’

Zeeland in de cloud

Xander was druk bezig om uit een diep dal te krabbelen. ‘Mijn redding is de bedrijfsstructuur geweest en de goodwill die ik in de 25 jaar vóór de hack bij mijn klanten heb opgebouwd. Ik ben nu vooral blij dat ik weer veel werk heb. Om te helpen voorkomen dat andere Zeeuwse ondernemers hetzelfde overkomt, werken we nu met een groep ondernemers aan een provinciebreed platform in de cloud. Dat voldoet ruimschoots aan alle veiligheidseisen en de nieuwe GDPR-wetgeving. Daarin lopen we in Zeeland voorop op andere provincies.’

 

Dader onbekend

Wie verantwoordelijk is voor de hack, weet Xander tot op de dag van vandaag niet. ‘Bij aangifte vroeg de politie om een signalement (!), dus dat gaf weinig vertrouwen. De cyberrecherche stelde vast dat het spoor inmiddels te oud was. Ik heb toen de eerder genoemde systeembeheerder gevraagd onderzoek te doen en die stelde vast dat het een doelgerichte actie was. Het bedrijf was dus bewust gehackt. Maar door wie? Een jaloerse concurrent of een crimineel die losgeld wilde, maar die niet kon opeisen omdat de stekker eruit lag? Ik heb voor mijn eigen zielenrust besloten het scenario te accepteren van de verveelde IT-student in China, die met scripts net zo lang aanklopt bij talloze servers wereldwijd, totdat er een open doet. Dat is zuur, maar daar kan ik mee leven.’

Geschreven door

Ook interessant